Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Cloud Key Management

Nalevingsnormen voor cloudbeveiliging – PCI DSS en AVG

Posted byDivyansh Dwivedi 5 Minute
Regelgeving en naleving zijn afhankelijk van het land waarin organisaties actief zijn. Het is essentieel om onderzoek te doen naar CSP en de regelgeving en naleving die zij volgen.
Inhoudsopgave

Introductie

Klanten en Cloud Service Provider (CSP) De verantwoordelijkheid voor beveiliging en compliance delen. De organisatie heeft dus de vrijheid om haar beveiligings- en compliancebehoeften zelf te ontwerpen, afhankelijk van de diensten die ze van de CSP afneemt en de diensten die ze wil leveren. De CSP is verantwoordelijk voor het veilig aanbieden van diensten en het bieden van fysieke beveiliging van de cloud.

Als een klant echter kiest voor Software-as-a-Service (SAS), biedt de CSP standaardnaleving. De organisatie moet echter wel controleren of ze voldoet aan de regelgeving en nalevingsniveaus om dit te bereiken. Niet alle cloudservices (zoals verschillende vormen van databases) zijn gelijk. Beleid en procedures moeten worden overeengekomen tussen de CSP en de klant voor alle beveiligingsvereisten en operationele verantwoordelijkheid.

Laten we eens dieper ingaan op de specifieke naleving en regelgeving binnen de sector.

PCI DSS op de cloud

Betaalkaartindustrie Data Security Standards (PCI DSS) is een reeks beveiligingsnormen die in 2004 zijn opgesteld om creditcard- en betaalpastransacties te beveiligen tegen gegevensdiefstal en fraude. PCI DSS is een reeks nalevingsvereisten die voor elk bedrijf gelden.

Stel dat betaalkaartgegevens worden opgeslagen, verwerkt of verzonden naar een cloudomgeving. In dat geval is PCI DSS van toepassing op die omgeving en omvat het validatie van de infrastructuur van de CSP en het gebruik van die omgeving door de klant.

PCI DSS-vereiste Verantwoordelijkheidstoewijzing voor het beheer van controles
IaaS PaaS SaaS
Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen Klant en CSP Klant en CSP CSP
Gebruik geen door de leverancier opgegeven standaardwachtwoorden voor systeemwachtwoorden en andere beveiligingsparameters Klant en CSP Klant en CSP CSP
Bescherm opgeslagen kaarthoudergegevens Klant en CSP Klant en CSP CSP
Versleutel de overdracht van kaarthoudergegevens via een open, openbaar netwerk Bedrijf Klant en CSP CSP
Gebruik en update regelmatig antivirussoftware of -programma's Bedrijf Klant en CSP CSP
Ontwikkelen en onderhouden van veilige systemen en applicaties Klant en CSP Klant en CSP Klant en CSP
Beperk de toegang tot kaarthoudergegevens op basis van zakelijke behoeften Klant en CSP Klant en CSP Klant en CSP
Wijs een unieke ID toe aan elke persoon met computertoegang Klant en CSP Klant en CSP Klant en CSP
Beperk de fysieke toegang tot kaarthoudergegevens CSP CSP CSP
Volg en controleer alle toegang tot netwerkbronnen en kaarthoudergegevens Klant en CSP Klant en CSP CSP
Test regelmatig beveiligingssystemen en -processen Klant en CSP Klant en CSP CSP
Handhaaf een beleid dat informatiebeveiliging voor alle personeelsleden aanpakt Klant en CSP Klant en CSP Klant en CSP

Op maat gemaakte cloud-sleutelbeheerservices

Ontvang flexibele en aanpasbare adviesdiensten die aansluiten bij uw cloudvereisten.

Meer informatie

GDPR

De Algemene Verordening Gegevensbescherming (AVG) vormt de kern van de Europese wetgeving inzake digitale privacy. "De digitale toekomst van Europa kan alleen worden gebouwd op vertrouwen. Met solide, gemeenschappelijke normen voor gegevensbescherming kunnen mensen er zeker van zijn dat ze de controle hebben over hun persoonlijke gegevens", aldus Andrus Ansip, vicevoorzitter voor de Digitale Eengemaakte Markt, toen de hervormingen in december 2015 werden goedgekeurd.

De AVG is van toepassing op alle bedrijven die gegevens van EU-ingezetenen verzamelen en verwerken. Bedrijven buiten de EU moeten een AVG-vertegenwoordiger aanstellen en zijn aansprakelijk voor alle boetes en sancties. De belangrijkste vereisten van de AVG zijn:

  1. Rechtmatige, eerlijke en transparante verwerking

  2. Beperking van doel, gegevens en opslag

    Verzamel alleen de noodzakelijke informatie en verwijder alle persoonlijke informatie nadat de verwerking is voltooid

  3. Rechten van betrokkenen

    Een klant kan vragen welke gegevens een organisatie over hem heeft en wat het beoogde gebruik van de gegevens is.

  4. Toestemming

    Organisaties moeten toestemming van de klant vragen als persoonsgegevens voor andere dan legitieme doeleinden worden verwerkt. De klant kan zijn toestemming ook op elk gewenst moment intrekken.

  5. Inbreuken op persoonsgegevens

    Afhankelijk van de ernst en de regelgeving moet de klant binnen 72 uur na constatering van de inbreuk op de hoogte worden gebracht.

  6. Privacy by design

    Organisaties moeten organisatorische en technische mechanismen inbouwen om persoonsgegevens te beschermen bij het ontwerp van nieuwe systemen en processen.

  7. Gegevensbeschermingseffectbeoordeling

    Een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd bij het opstarten van een nieuw project, een nieuwe verandering of een nieuw product.

  8. Gegevensoverdrachten

    Organisaties moeten ervoor zorgen dat persoonlijke gegevens worden beschermd en dat de AVG-vereisten worden nageleefd, zelfs als een derde partij dit doet

  9. Functionaris voor Gegevensbescherming

    Wanneer er binnen een organisatie sprake is van grootschalige verwerking van persoonsgegevens, dient de organisatie een Functionaris Gegevensbescherming aan te stellen.

  10. Bewustwording en training

    Organisaties moeten hun medewerkers bewust maken van de cruciale AVG-vereisten

Om AVG in de cloud te realiseren, moeten we deze aanvullende stappen nemen

  • Organisaties moeten weten waar de gegevens worden opgeslagen en verwerkt door CSP
  • Organisaties moeten weten welke CSP's en cloud-apps voldoen aan hun beveiligingsnormen. Organisaties moeten adequate beveiligingsmaatregelen nemen om persoonsgegevens te beschermen tegen verlies, wijziging en ongeautoriseerde verwerking.
  • Organisaties dienen een gegevensverwerkingsovereenkomst te hebben met de CSP en de cloud-apps die zij gebruiken.
  • Organisaties zouden alleen de gegevens moeten verzamelen die zij daadwerkelijk nodig hebben en de verwerking van persoonsgegevens verder moeten beperken.
  • Organisaties moeten ervoor zorgen dat de overeenkomst voor gegevensverwerking wordt nageleefd en dat persoonsgegevens niet voor andere doeleinden worden gebruikt door CSP of cloud-apps.
  • Organisaties moeten naar wens gegevens uit alle gegevensbronnen in CSP kunnen verwijderen.

Conclusie

Regelgeving en naleving zijn afhankelijk van het land waarin organisaties actief zijn. Het is essentieel om onderzoek te doen naar CSP's en de regelgeving en naleving die zij naleven. Meer informatie over de CSP's vindt u op hun respectievelijke websites:

Als een organisatie zich niet houdt aan de regelgeving die in het land of de regio geldt, kan ze boetes krijgen en haar recht om in dat land te opereren verliezen.

Ontdek onze

Gerelateerde blogs

Microsoft Azure is een van de drie grootste cloud service providers die organisaties tegenwoordig gebruiken. De andere twee die het meest door organisaties worden gebruikt, zijn Amazon Web Services (AWS) en Google Cloud Platform (GCP). Gezien de huidige situatie verplaatsen veel bedrijven hun diensten naar een gedeeltelijk of volledig cloudgebaseerd platform zoals Azure of AWS.

Hoe kunt u ervoor zorgen dat organisaties meer klachten gaan indienen met Microsoft Azure?

2 februari 2022
Inleiding tot crypto-shredding

Maak kennis met het nieuwe concept van Crypto-Shredding

August 20, 2021

Verschillen tussen AWS KMS Azure Key Vault en GCP KMS

AWS KMS versus Azure Key Vault versus GCP KMS

July 23, 2021

Bestudeer

Meer onderwerpen